5月报税季骇客活跃期 资安专家:留意2大诈骗手法

全台630万申报户逾6成采网路申报,税额试算案也大多采网路回复确认,如今报税高度仰赖电脑行动装置资安专家提醒,报税季正是骇客活跃期,应留意两大诈骗手法,并以资安三招自保

近年报税方式持续数位进化,今年更开放手机平板报税,如今免下载离线报税软体、免用读卡机,随时随地都可完税;享受科技便利之余,也须特别留意潜藏风险。KPMG安侯数位智能风险顾问公司董事总经理谢昀泽建议,5月报税季可从辨识诈骗、资安防护两大面向来防御。

一、报税季骇客摩拳擦掌,留心「主动猎杀」与「引君入瓮」两大常见诈骗手段

谢昀泽示警,不论是国内外,每逢报税季就是骇客活动高峰,近年常见手法包含「主动猎杀」与「引君入瓮」两大类型

其中,「主动猎杀」手法今年才刚于美国报税季现踪,手段为藉税务名义发送钓鱼邮件,于信件中夹藏木马程式攻击,窃取纳税人敏感资料,骇客更进化到可以回避侦测手段规避防毒软体。若能从源头防范,报税季不点开未知、可疑邮件,可大幅降低遭诈骗风险。

「引君入瓮」手法如同先前于香港发生的「毒新闻攻击」事件,骇客会借由耸动、具吸引力标题,诱使民众点选新闻连结,例如以报税、疫情文字入标,民众若点入连结,骇客便可借此埋下恶意程式攻击。建议报税季应更谨慎,不点开陌生讯息中的连结。

二、报税前、中、后,做好资安三招

谢昀泽表示,今年新增的手机、平板报税,是免下载APP、免使用读卡机、免印表机的行动方案,由于不需额外下载APP及程式,可降低误载恶意程式风险。

不过仍要提醒,在报税之前,使用手机、平板浏览器搜寻报税网站,或以电脑下载离线版报税系统时,记得认明财政部电子申报缴税服务网(https://tax.nat.gov.tw/)官方网站,避免误入其他伪冒钓鱼网站。

报税过程中,应透过家庭或公司安全网路进行报税,避免使用公用网路;报税完成后,不要理会来路不明的退税通知,如邮件、简讯电话等,才能保护个资并避免诈骗。

此外,也可事先从几个迹象,观察手机、平板报税环境是否安全,例如检查是否有安装近期资安新闻揭露的恶意APP或非官方APP市集软体,是否有异常网路使用流量、异常帐单金额、异常耗电情形,或是否收到可疑通知简讯等,也可检查下载的APP是否要求过多个资搜集或其他不合理权限

不过,谢昀泽强调,行动装置是否有被植入木马程式,通常需专业实验室资安专家以科技工具进行深入检测

此外,他提醒,手机、平板千万不要进行自行破解,以避免原生作业系统安全防护遭瓦解。一般而言,手机机型过旧或作业程式太旧,可能存在原厂已不再修补的漏洞,较容易让骇客有机可乘,但并非新型手机就保证安全,若作业系统及APP若没有更新到最新版本,仍然充满资安风险,建议报税前均应完成更新。(编辑潘羿菁)1100501